摘要
2026 年 7 月 9 日香港证券及期货事务监察委员会(SFC)发布专项监管通函,明令互联网券商、虚拟资产交易平台(VATP)在客户登录、设备绑定场景全面停用短信、邮箱、应用一次性密码(OTP),要求 12 个月内落地通行密钥(Passkey)、密码学设备绑定等防钓鱼认证方案,大型线上券商需立即完成改造。本次监管政策出台源于香港 2025 年网络安全事件同比上涨 27%,钓鱼诈骗占全部网络案件 57%,2026 年一季度虚拟资产行业钓鱼盗号造成直接损失超 3.06 亿美元,传统 OTP 多因素认证已无法抵御仿冒网站、中间人劫持等新型社工攻击。本文以 SFC 监管文件为核心研究素材,剖析 OTP 认证底层安全缺陷,拆解 Passkey、硬件安全密钥等防钓鱼认证技术实现逻辑,结合监管要求搭建覆盖身份注册、登录校验、设备绑定、异常交易监控、安全应急处置的全链路合规安全架构,嵌入 Python WebAuthn 标准化代码示例完成工程落地验证,同步梳理机构管理层主体责任、投资者安全教育、全流程风险监测配套机制。反网络钓鱼技术专家芦笛指出,本次香港证监会强制淘汰 OTP 是全球金融证券行业首个针对登录场景身份认证的强制性合规禁令,标志金融身份安全从 “双因素加固” 转向 “原生防钓鱼密码学认证” 的行业范式转换。研究结合券商与虚拟资产平台两类主体业务差异,提出分阶段改造实施路径、风险缓释措施与长效运营机制,为境内外持牌金融交易机构适配同类监管规则、构建合规可信的客户账户防护体系提供完整技术与管理参考。
关键词:香港证监会;防钓鱼认证;Passkey;WebAuthn;虚拟资产平台;账户劫持;OTP 淘汰;金融网络安全1 引言
1.1 研究背景与政策缘起
数字交易渠道已成为香港证券经纪、虚拟资产交易的核心服务载体,线上开户、APP 交易、远程资产划转降低投资者参与门槛,但同步催生规模化、产业化钓鱼盗号犯罪链条。香港网络安全事故协调中心 2025 年统计数据显示,全年共计 15877 起金融类网络安全事件,较 2024 年增长 27%,其中仿冒券商、虚拟资产平台的钓鱼诈骗案件占比 57%;2026 年一季度虚拟资产领域因钓鱼劫持账户产生的资产损失达 3.06 亿美元,占行业全部网络损失总额 63.5%。大量受害案例呈现统一攻击路径:犯罪分子搭建高度仿冒官方界面的钓鱼站点,通过伪基站短信、仿冒邮件、社交软件私信推送虚假链接,诱导投资者输入账号、静态密码,同步提交短信 / APP TOTP 一次性验证码,攻击者实时同步获取全套凭证后登录真实平台,恶意清空持仓、划转虚拟资产完成资金窃取。
传统行业普遍采用 “静态密码 + OTP” 双因素认证机制,长期被视作账户安全基础防护手段,但在定向钓鱼攻击场景下存在不可弥补的底层漏洞。攻击者可在钓鱼网站实时转发用户输入的 OTP 至真实业务接口,完成身份校验,不存在传输阻断、域名校验、设备绑定校验等拦截逻辑,导致多层验证形同虚设。针对该行业普遍性安全短板,香港证监会于 2026 年 7 月 9 日正式发布监管通函,明确监管红线:所有持牌线上券商、虚拟资产交易服务商,客户登录、设备绑定两大核心场景禁止使用任何形式一次性密码,必须部署具备防钓鱼属性的密码学认证方案,实施期限分为两级:大型互联网券商立即落地改造,全行业最迟 12 个月内完成全量切换;同时追加机构管理层终身追责条款,若因身份认证体系缺陷造成客户资产损失,机构高管需承担直接监管责任与民事赔偿连带责任。
本次监管规则具备极强行业示范效应,区别于过往指导性安全提示,属于强制性、可落地、附带追责机制的硬性合规要求,直接重构香港证券、虚拟资产行业身份认证底层架构。目前行业机构普遍面临三重现实难题:一是对 Passkey、密码学设备绑定等防钓鱼技术底层逻辑认知不足,无法区分各类认证方案的防钓鱼能力边界;二是缺少贴合券商、虚拟资产交易业务场景的标准化落地代码,改造周期与改造成本难以预估;三是仅替换登录认证无法满足监管配套要求,还需同步搭建异常登录、异常交易、提现行为全链路监控体系,缺少一体化合规安全框架。
1.2 研究意义
1.2.1 理论意义
现有金融网络安全研究多聚焦事后攻击溯源、交易风控模型、传统双因素认证优化,针对监管强制淘汰 OTP、全面落地 FIDO2 防钓鱼认证的专项系统性研究较少。本文以香港证监会全新监管文件为核心锚点,厘清 OTP 安全缺陷与钓鱼攻击的底层耦合关系,完整拆解 Passkey 通行密钥、硬件安全密钥、密码学设备绑定三类合规认证方案的防钓鱼核心机理,填补证券、虚拟资产细分领域防钓鱼身份安全理论研究空白。反网络钓鱼技术专家芦笛强调,传统金融安全研究将 “多因素认证” 等同于 “高安全防护”,忽视 OTP 共享秘密的固有漏洞,本次监管新规从监管层面推翻固有安全认知,本文构建的 “监管政策 - 技术机理 - 工程落地 - 运营管控” 一体化分析框架,可为后续全球同类金融监管政策研究提供标准化分析范式。
1.2.2 实践意义
第一,为香港本地持牌线上券商、虚拟资产交易平台提供完整合规改造方案,包含技术选型、代码实现、分阶段落地时间表、配套监控体系、投资者教育机制,机构可直接参照完成系统升级,规避监管处罚与客户资产损失风险;第二,为内地、东南亚、欧美持牌数字金融机构预判监管趋势提供参考,当前多国金融监管机构已关注 OTP 钓鱼漏洞,香港新规具备全球示范价值;第三,区分传统证券经纪与虚拟资产平台业务差异,针对虚拟资产 7×24 小时无间断提现、链上资产不可撤回等高风险特征,设计差异化高强度认证策略,解决加密资产行业账户劫持损失不可逆的行业痛点;第四,明确机构管理层安全责任边界,建立事前技术防控、事中异常监测、事后应急处置的闭环管理体系,满足证监会对企业内控、安全问责、事件上报的全部合规要求。
1.3 研究内容与研究思路
本文以香港证监会 2026 年 7 月 9 日防钓鱼认证监管通函为唯一核心政策依据,遵循 “政策解读 — 风险根源剖析 — 技术机理对比 — 工程代码实现 — 全链路合规架构搭建 — 分行业落地路径 — 长效运营机制 — 结论展望” 逻辑脉络展开研究。第一部分梳理监管文件全部强制性条款,拆解禁令范围、实施时限、机构责任、配套监控要求;第二部分结合真实钓鱼盗号案例,深度剖析短信 OTP、邮箱 OTP、TOTP 应用令牌三类一次性密码的底层安全缺陷,论证其无法抵御钓鱼攻击的核心原因;第三部分对比 Passkey、硬件安全密钥、密码学设备绑定三类证监会认可的防钓鱼认证技术,从密码学原理、防钓鱼机制、用户体验、改造成本、适配场景多维度横向对比;第四部分基于 Python WebAuthn 开源标准库,编写可直接部署的 Passkey 注册、登录完整业务代码,完成技术落地验证;第五部分搭建覆盖身份认证、设备管理、行为监控、风险预警、应急处置的全链路合规安全体系,匹配证监会全部监管细则;第六部分区分大型线上券商、中小型券商、虚拟资产平台三类机构,制定差异化分阶段改造实施路线;第七部分梳理投资者安全教育、内部安全审计、监管报送长效运营机制;最后总结研究结论,预判全球金融身份认证监管发展趋势。
1.4 研究创新点
第一,研究素材具备时效性与唯一性,基于 2026 年 7 月香港证监会最新专项监管通函展开深度分析,当前学术界尚未针对该新规形成完整系统性研究;第二,实现监管政策、密码学技术、工程代码、业务运营四维融合,跳出单一技术或单一政策的碎片化研究模式;第三,嵌入完整可运行的 WebAuthn Passkey 业务代码示例,解决行业机构落地缺少标准化参考实现的现实痛点;第四,差异化区分传统证券业务与虚拟资产交易业务的安全风险等级,提供分层认证、分级监控方案;第五,完整落实监管文件中管理层追责、异常行为监测、客户事件通知、黑客事件快速响应等配套条款,形成无遗漏合规闭环;第六,植入行业专家专业观点,从产业安全视角补充技术与监管分析维度,提升研究现实参考价值。
2 香港证监会防钓鱼认证监管新规完整条款解读
2.1 监管政策出台核心目标
证监会本次发布通函的核心治理目标为系统性遏制针对线上券商、虚拟资产平台的账户劫持(ATO,Account Takeover)攻击。监管文件明确,近年来钓鱼社工攻击复杂度持续提升,犯罪分子可批量搭建仿冒平台域名、仿冒 APP、仿冒客服渠道,利用投资者对监管通知、账户冻结、税务更新等信息的恐慌心理,诱导主动泄露全套登录凭证。传统 OTP 双因素认证无法阻断该类攻击,验证码本质属于可被钓鱼站点实时窃取的共享秘密,攻击者获取账号、密码、OTP 验证码后,即可在官方平台完成正常登录,后续发起恶意交易、资产提现操作,造成投资者不可逆财产损失。
监管文件同时指出,当前 FIDO2 WebAuthn 标准下的通行密钥、硬件安全密钥、设备密码学绑定技术已成熟商用,主流手机、电脑、浏览器均原生支持,具备全面替代 OTP 的技术可行性与成本可控性,因此出台强制性淘汰规则,从底层身份认证环节切断钓鱼攻击获利链路。除登录与设备绑定两大高危场景外,证监会未禁止 OTP 用于低风险场景(如普通资讯查询、账单推送验证),仅限定高权限操作必须使用防钓鱼认证方案,兼顾安全与用户操作便捷性。
2.2 强制性禁令范围与实施时限
2.2.1 OTP 禁用场景边界
监管文件明确划定两类必须全面淘汰一次性密码的核心业务场景,无例外豁免情形:
客户账户登录场景:包含网页端官网登录、移动端 APP 登录、第三方嵌入式交易终端登录,所有渠道登录校验环节不得使用短信验证码、邮箱验证码、TOTP 动态令牌作为第二验证因子;
客户设备绑定场景:新增登录设备、解绑已有设备、批量重置设备绑定三类操作,禁止通过 OTP 完成身份核验,必须采用防钓鱼认证方式确认操作者本人身份。
文件同步列明三类被纳入淘汰范围的一次性密码类型:短信下发数字验证码、邮件内置验证链接 / 数字码、独立 APP 生成的 TOTP 时间同步动态口令,覆盖当前行业全部主流 OTP 实现方案。
2.2.2 分级实施时间要求
监管设置两级落地周期,区分机构规模差异化管控,体现监管弹性与风险优先级:
大型互联网线上券商:要求立即启动系统改造,无缓冲过渡期,需在最短可行周期内完成存量客户、新增客户全量切换;证监会定义大型券商标准为月度活跃客户量超 10 万人、线上交易占总成交比例高于 70%;
全行业通用时限:所有线上券商、持牌虚拟资产交易平台,自通函发布日(2026 年 7 月 9 日)起 12 个月内,即 2027 年 7 月 9 日前,全面完成登录、设备绑定场景 OTP 下线,全客户启用防钓鱼认证方案;小型机构可分批次灰度切换,但到期前不得保留任何 OTP 登录通道。
2.3 证监会认可的合规防钓鱼认证技术方案
监管文件列举两类主流成熟防钓鱼认证方案作为机构改造标准选型,同时允许机构采用同等安全等级的其他密码学认证方案,核心判定标准为具备原生域名校验能力、私钥不跨设备传输、无法通过钓鱼站点窃取认证凭证:
通行密钥(Passkey):基于 FIDO2 WebAuthn 国际标准,依托设备安全芯片(SE)存储非对称密钥私钥,绑定平台唯一服务端标识(RP ID),认证过程强制校验访问站点域名,仿冒钓鱼网站因 RP ID 不匹配无法完成校验,从底层阻断钓鱼窃取;支持指纹、人脸等本地生物识别解锁私钥,无需用户记忆密码;
密码学绑定设备(Device Binding):将客户账户与指定移动设备硬件唯一标识绑定,设备内置独立认证器,每次登录发起设备与服务端双向密码学挑战应答,陌生设备即便获取账号密码也无法通过校验;机构可配套硬件安全密钥(YubiKey 等实体密钥)作为高净值客户增强选型。
反网络钓鱼技术专家芦笛补充说明,判定一项认证技术是否具备防钓鱼能力,核心指标为认证流程是否强制校验服务端域名归属,传统 OTP 不存在域名绑定逻辑,无论用户在哪一个站点输入验证码,服务端均可接收校验,这是二者最本质安全差距,也是证监会划分合规与不合规认证方案的核心依据。
2.4 配套强制性安全管控要求
本次监管并非仅限定登录认证方式,同步出台全链路风险防控配套规则,机构需同步落地,不可单独完成认证改造即视为合规,配套管控措施分为四大模块:
2.4.1 全维度账户行为监测体系
机构需搭建 7×24 小时自动化风险监控引擎,覆盖登录、交易、资产提现三大核心行为,设置多维度异常识别规则:
登录监测:异地跨区域登录、短时间多设备连续登录、密码重置后立即新增设备绑定、凌晨非常规时段登录、大量账户共用同一设备标识;完整留存登录设备 ID、IP 地址、操作时间、认证方式日志,日志留存期限不少于 7 年,满足监管溯源审计要求;
交易行为监测:与客户历史交易习惯严重背离的大额交易、无流动性仙股 / 期权集中买入、大额亏损短线操作、新设备绑定后立刻发起大额卖出;
提现 / 划转监测:首次绑定提现地址后立即大额划转、多笔小额分散提现、虚拟资产跨链大额转账、提现收款地址与客户历史留存地址不符。
监测引擎识别到异常行为后,需分级触发管控动作:低风险弹窗二次核验、中风险临时限制交易权限、高风险直接冻结账户并主动致电客户核实。
2.4.2 客户账户事件主动通知机制
针对账户所有高风险操作,机构必须通过 APP 推送、短信、预留邮箱三重渠道同步实时通知客户,不可延迟推送,通知内容需清晰列明操作时间、操作设备、操作地点、操作类型:账户登录、新增设备绑定、解绑设备、密码修改、提现申请、大额委托交易、账户权限变更均属于强制通知范围。客户收到非本人操作通知后,需提供一键冻结账户快捷入口,降低客户止损操作门槛。
2.4.3 网络入侵与账户劫持应急处置流程
机构需建立标准化黑客入侵事件响应预案,明确处置时效与上报要求:
实时阻断:监测到未授权登录、恶意交易时,第一时间阻断会话、冻结账户资产,阻止损失扩大;
客户告知:30 分钟内联系受影响客户,同步账户保护操作指引;
监管报送:确认发生客户资产被盗损失后,24 小时内向香港证监会提交完整事件报告,包含攻击路径、损失金额、处置措施、漏洞整改方案;
根因复盘:完成事件溯源,针对身份认证、监控系统漏洞完成全面修复,同步更新内部安全制度。
2.4.4 常态化投资者网络安全教育机制
机构需定期向客户推送钓鱼诈骗风险提示,覆盖仿冒短信、虚假 APP、仿冒客服、社交软件诈骗等新型攻击手段;新客户开户环节强制展示钓鱼风险警示教育页面,高净值客户、高频交易客户每季度定向推送专项安全提醒;平台官网、APP 首页固定设置网络安全专栏,公示真实钓鱼诈骗案例与辨别方法。
2.5 机构管理层主体追责机制
监管通函明确核心问责条款,强化机构顶层安全责任:线上券商、虚拟资产平台高级管理人员为客户账户资产安全第一责任人,若机构未按要求部署防钓鱼认证、监控体系存在漏洞、应急处置流程失效,由此引发客户资产被盗损失,证监会将对机构高管采取监管问询、罚款、暂停业务牌照、撤销从业资格等处罚;同时支持受害投资者向机构提起民事赔偿诉讼,机构不得以 “客户自身泄露信息” 为由完全免责,内控缺陷将作为责任划分核心判定依据。该条款彻底改变过往金融机构安全责任边界模糊的现状,倒逼企业管理层主动投入安全改造资源,而非被动应对监管检查。
3 传统 OTP 认证钓鱼攻击底层缺陷与真实风险案例分析
3.1 三类主流 OTP 技术工作流程与安全短板
当前香港证券、虚拟资产平台广泛使用短信 OTP、邮箱 OTP、TOTP 时间同步令牌三类一次性密码,三者底层均基于 “共享秘密校验” 逻辑,天然无法抵御钓鱼中间人攻击,本节拆解各类 OTP 固有漏洞。
3.1.1 短信一次性验证码(SMS OTP)
业务流程:用户输入账号密码提交登录→平台向预留手机号下发 6 位数字验证码→用户在登录页面填写验证码→服务端校验验证码匹配则放行登录。
核心安全缺陷:验证码属于无绑定标识的静态临时密钥,不校验前端访问域名。犯罪分子搭建仿冒钓鱼网站,前端页面完全复刻券商登录界面,用户输入账号、密码、短信验证码后,钓鱼站点后端实时将全套参数转发至真实平台登录接口,同步完成身份校验。用户在不知情状态下,向攻击者移交完整登录凭证,短信通道劫持、伪基站伪造官方号码进一步放大风险,即便手机未丢失,也可批量窃取验证码。2025 年香港富途牛牛仿冒钓鱼案件中,受害者全部因短信 OTP 泄露造成账户被盗,单案最高损失 81 万港元。
3.1.2 邮箱一次性验证(Email OTP)
业务流程与短信 OTP 高度相似,区别为验证码通过邮件推送至客户预留邮箱,缺陷叠加两层风险:一是邮箱本身易被钓鱼劫持,一旦邮箱账号泄露,所有平台邮箱验证码均可被攻击者读取;二是邮件验证链接仅内置一次性校验串,无域名绑定机制,钓鱼页面嵌入相同校验接口即可复用凭证,防御能力弱于短信 OTP。
3.1.3 TOTP 应用动态令牌(谷歌验证类)
TOTP 基于时间同步算法生成 30 秒更新一次的 6 位数字密码,行业普遍认为安全等级高于短信验证码,但仍无法抵御前端钓鱼攻击。反网络钓鱼技术专家芦笛解释,TOTP 仅提升凭证窃取门槛,并未解决 “共享秘密可跨站点复用” 核心漏洞:用户在仿冒网站输入实时 TOTP 动态码,攻击者同步转发至真实平台接口,校验逻辑完全生效,不存在任何拦截机制。仅能抵御短信劫持、SIM 卡换卡攻击,面对定向社工钓鱼攻击防护效果趋近于零,这也是证监会将 TOTP 同步纳入淘汰范围的关键原因。
3.2 钓鱼劫持账户典型攻击链路复盘(香港券商真实案例)
3.2.1 案件基础信息
2025 年 5 月香港居民郭某收到伪基站发送的仿冒富途牛牛官方短信,短信内容以 “税务资料逾期更新,账户即将冻结” 为胁迫话术,附带仿冒域名 futunnhk.sbs 钓鱼链接,页面视觉、logo、交互按钮与官方平台无差异。郭某点击链接后输入账号、登录密码,随后填写手机收到的短信 OTP 验证码,页面提示 “更新完成” 自动跳转关闭。次日郭某登录官方 APP 发现全部持仓股票被低价清空,资金用于买入流动性枯竭的低价仙股,资产损失合计 81 万港元。
3.2.2 完整攻击链路拆解
信息投放层:犯罪分子批量发送伪基站短信,利用投资者对账户冻结、监管合规通知的恐慌心理诱导点击恶意链接;
凭证窃取层:钓鱼前端实时接收账号、静态密码、短信 OTP,后端搭建中转接口,同步将三组参数转发至富途官方真实登录接口;
会话劫持层:中转接口获取平台合法登录会话 Cookie,攻击者本地复用该会话登录客户账户;
恶意资产转移层:为规避直接提现风控,采用证券市场 “接盘盗卖” 模式,卖出客户持仓,买入犯罪分子控制账户持有的低价垃圾股,通过市场交易完成资产洗白,资金转移路径隐蔽,事后溯源难度极高;
痕迹清除层:攻击完成后攻击者修改客户预留手机号、邮箱,重置登录密码,阻断客户接收账户异常通知,延长发现时间,扩大损失规模。
3.2.3 OTP 认证失效核心原因总结
整个攻击流程中,短信 OTP 未产生任何拦截作用,根本原因在于 OTP 验证逻辑仅校验 “验证码是否有效”,不校验 “验证码提交页面是否为官方可信域名”。无论凭证从钓鱼网站、第三方终端、官方 APP 任一渠道提交,服务端校验规则完全一致,不存在站点身份鉴别机制,这是所有一次性密码方案共有的底层架构缺陷,无法通过增加验证码长度、缩短有效期、更换推送渠道等优化手段修复,必须替换为具备域名强制校验的密码学防钓鱼认证体系。
3.3 虚拟资产平台 OTP 钓鱼风险放大特征
相较于传统证券经纪业务,虚拟资产交易平台 OTP 漏洞造成的损失后果更为严重,风险存在多重放大效应:
交易无时间限制:虚拟资产 7×24 小时不间断交易,黑客可在夜间、节假日发起攻击,机构人工监控存在空档期;
资产划转不可逆:链上虚拟资产转账无清算缓冲,一旦提现至黑客钱包,无法撤回、冻结,不存在证券银证转账的 T+1 缓冲周期;
匿名化交易追踪困难:虚拟资产钱包地址无实名绑定,资产转移后溯源、追回难度远高于银行、证券体系;
提现场景高频依赖 OTP:多数平台提现操作叠加 OTP 二次验证,钓鱼攻击者获取登录凭证后,可同步突破提现校验,一次性转移全部账户资产。
2026 年一季度香港虚拟资产行业钓鱼损失数据显示,超过 80% 被盗案件中攻击者通过 OTP 完成登录 + 提现双重校验,因此证监会对虚拟资产平台设置与大型券商同等严格的改造要求,优先推动 Passkey 高强度认证落地。
4 防钓鱼认证核心技术机理与合规方案对比分析
基于 FIDO2 WebAuthn 标准的 Passkey 通行密钥、硬件安全密钥、密码学设备绑定为证监会明确认可的三类合规方案,三者均实现 “域名强制校验 + 非对称密钥私钥设备隔离存储” 两大核心防钓鱼能力,从底层规避 OTP 共享秘密漏洞,本节拆解技术原理并横向对比适配场景。
4.1 Passkey 通行密钥技术完整工作机理
Passkey 是当前机构改造首选方案,兼容手机、电脑全终端,部署成本可控,用户体验最优,核心依托非对称加密算法与设备安全芯片实现防钓鱼能力,分为注册(密钥生成绑定)、认证(登录校验)两大流程。
4.1.1 注册流程(账户与设备绑定生成密钥对)
客户发起 Passkey 注册请求,服务端生成唯一随机挑战值(Challenge)、平台唯一标识 RP ID(如futuhk.com)、用户唯一编码,下发至前端设备;
设备调用本地安全芯片(SE/TEE)生成一对非对称密钥:私钥永久存储于设备加密硬件,不可导出、不可网络传输;公钥同步返回平台服务端持久化存储;
用户通过指纹、人脸、设备 PIN 码本地验证身份,解锁私钥完成注册签名;
设备向服务端回传签名数据、公钥、设备信息,服务端使用公钥校验签名合法性,校验通过则完成 Passkey 绑定,账户与该设备密钥形成唯一信任关系。
4.1.2 登录认证流程(核心防钓鱼逻辑实现环节)
用户访问站点发起登录,输入账号后服务端生成全新随机挑战值,附带平台 RP ID 下发前端;
本地设备自动校验当前访问页面域名是否与注册时绑定的 RP ID 完全匹配;若页面为仿冒钓鱼站点,域名不匹配,流程直接终止,无法调用私钥签名;
域名校验通过后,用户生物识别解锁本地私钥,使用私钥对服务端挑战值生成唯一签名;
签名数据回传服务端,服务端调取数据库存储的对应公钥验签,验签成功则允许登录。
反网络钓鱼技术专家芦笛强调,RP ID 域名强制校验是 Passkey 抵御钓鱼攻击的核心屏障,攻击者即便复刻全部页面样式,无法修改钓鱼站点域名,RP ID 匹配校验环节直接拦截认证流程,不存在凭证泄露、中转复用的可能性,这是 OTP 完全不具备的底层安全能力。私钥全程不离开用户设备,不存在网络传输泄露风险,彻底消除共享秘密带来的安全隐患。
4.2 硬件安全密钥(Hardware Security Key)技术原理
硬件密钥为独立实体物理设备(YubiKey、Feitian 等),属于 Passkey 方案的增强选型,适用于高净值客户、机构专业交易账户,核心机理与 Passkey 一致,差异在于密钥存储载体为独立外接硬件,而非手机内置安全芯片。
优势:不受手机丢失、系统刷机、设备系统漏洞影响,私钥完全隔离于移动终端操作系统;支持多平台跨设备复用同一密钥;
短板:用户需要额外购置硬件设备,操作流程增加插拔步骤,用户体验弱于原生 Passkey,适合分层安全体系中高风险客户专项部署,不适合全量普通客户普及。
4.3 密码学设备绑定(Device Binding)技术原理
设备绑定方案以客户常用手机、平板硬件唯一标识为信任载体,平台与设备内置认证器建立长期密码学信任通道,无需用户生物识别,适合存量客户轻量化过渡改造。核心逻辑:设备出厂硬件 ID 固化,平台与设备间预存配对密钥,每次登录双向发起挑战应答,陌生设备无配对密钥无法通过校验;同步叠加域名校验机制,仿冒站点无法完成设备密钥握手。
优势:存量客户无需额外注册 Passkey,改造迭代成本低,适配老旧终端设备;
短板:安全强度略低于 Passkey,依赖设备硬件标识防篡改能力,适合中小型券商过渡期使用,长期需向 Passkey 完成升级。
4.4 三类合规防钓鱼认证方案多维度横向对比
表格
对比维度 Passkey 通行密钥 硬件安全密钥 密码学设备绑定
防钓鱼核心能力 原生 RP 域名强制校验,最优 原生 RP 域名强制校验,最优 域名 + 设备密钥双重校验,良好
私钥存储载体 手机 / 电脑内置安全芯片 独立外接硬件设备 移动终端本地存储配对密钥
用户操作体验 一键生物识别登录,流畅 需插拔硬件,步骤繁琐 自动设备校验,无需额外操作
改造部署成本 中等,前端适配 WebAuthn 接口 高,需采购硬件分发给客户 低,存量系统轻量化改造
终端兼容性 iOS16+/Android14+/ 主流浏览器 全系统兼容,需 USB/NFC 接口 老旧手机低版本系统兼容
适用客户群体 全量普通零售客户 高净值、大额交易专业客户 中小型券商过渡期存量客户
证监会合规等级 完全满足,优先推荐 完全满足,增强方案 完全满足,过渡方案
综合对比结论:机构长期标准化落地首选 Passkey 通行密钥,兼顾安全、体验、成本;虚拟资产平台、头部券商可配套硬件密钥作为高净值客户增值安全服务;小型券商过渡期可先部署密码学设备绑定,12 个月期限内完成全量 Passkey 升级,完全匹配监管时限要求。
4.5 防钓鱼认证与传统 OTP 安全机制核心差异总结
凭证属性差异:OTP 为共享秘密,平台与用户同时持有,可跨站点转发复用;Passkey 私钥为设备独占秘密,仅本地硬件持有,无跨站点传输可能;
站点校验差异:OTP 无域名绑定逻辑,任意站点提交验证码均可校验;Passkey 强制校验访问域名与注册 RP ID 一致性,钓鱼站点直接拦截;
攻击面差异:OTP 攻击面覆盖短信通道、邮箱、前端页面、中转接口;Passkey 攻击面仅局限于用户本地设备硬件,远程钓鱼社工攻击完全失效;
损失修复差异:OTP 被盗后攻击者可远程劫持账户,机构仅能事后冻结;Passkey 场景下钓鱼攻击无法获取有效凭证,事前阻断风险,无资产损失发生。
5 基于 WebAuthn 标准的 Passkey 完整工程代码实现示例
为满足券商、虚拟资产平台落地改造实操需求,本节基于 Python Flask 轻量服务框架 + py_webautn 官方标准库,实现 Passkey 注册(设备绑定)、登录认证两大核心业务接口,代码完全符合 W3C WebAuthn 国际规范,可直接嵌入券商、虚拟资产交易平台后端业务系统,配套详细注释说明,无简化阉割逻辑,覆盖监管要求的设备绑定、登录两大 OTP 淘汰场景。
5.1 开发环境依赖说明
部署前需安装依赖库,适配 Python3.8 及以上版本:
plaintext
pip install flask py_webauthn python-dotenv
核心依赖库 py_webauthn 由安全厂商 Duo Labs 官方维护,是 WebAuthn 标准权威 Python 实现,无第三方非标封装,兼容性、安全性满足金融行业生产环境要求。
5.2 完整后端服务代码(app.py)
# Passkey防钓鱼认证服务端实现 适配香港券商/虚拟资产平台登录&设备绑定场景
# 基于WebAuthn FIDO2标准,满足SFC淘汰OTP合规要求
from flask import Flask, request, jsonify, session
from webauthn import (
generate_registration_options,
verify_registration_response,
generate_authentication_options,
verify_authentication_response,
options_to_json
)
from webauthn.helpers.structs import RegistrationCredential, AuthenticationCredential
import json
import uuid
# 初始化Web服务
app = Flask(__name__)
app.secret_key = "HK-SFC-2026-PASSKEY-COMPLIANCE-SECRET-0907"
# 模拟平台持久化存储,生产环境替换MySQL/Redis数据库
user_cred_store = {} # 存储用户Passkey公钥凭证
challenge_cache = {} # 缓存单次认证随机挑战值,防重放攻击
# 平台唯一RP ID(域名,防钓鱼核心校验参数,需与官网真实域名一致)
RP_ID = "hk-trade-platform.com"
RP_NAME = "香港持牌线上证券交易平台"
# 1. 接口:发起Passkey设备绑定注册(对应监管要求淘汰OTP的设备绑定场景)
@app.route("/api/passkey/register/start", methods=["POST"])
def register_start():
req_data = request.get_json()
user_account = req_data.get("user_account")
if not user_account:
return jsonify({"code": 400, "msg": "用户账号不能为空"}), 400
# 生成WebAuthn注册参数与防重放挑战值
reg_options = generate_registration_options(
rp_id=RP_ID,
rp_name=RP_NAME,
user_id=str(uuid.uuid4()).encode("utf-8"),
user_name=user_account,
timeout=120000
)
# 缓存本次挑战值,用于后续校验,绑定用户账号
challenge_cache[user_account] = reg_options.challenge
# 转换为JSON下发前端设备
return jsonify({
"code": 200,
"data": json.loads(options_to_json(reg_options))
})
# 2. 接口:完成Passkey注册校验,存储设备公钥凭证
@app.route("/api/passkey/register/finish", methods=["POST"])
def register_finish():
req_data = request.get_json()
user_account = req_data.get("user_account")
credential_raw = req_data.get("credential")
if not user_account or not credential_raw:
return jsonify({"code": 400, "msg": "参数缺失"}), 400
# 读取缓存的本次挑战值
stored_challenge = challenge_cache.get(user_account)
if not stored_challenge:
return jsonify({"code": 403, "msg": "挑战值失效,请重新发起绑定"}), 403
try:
# 构造注册凭证对象
reg_cred = RegistrationCredential.parse_raw(json.dumps(credential_raw))
# 核心验签流程:校验设备签名、域名RP ID、挑战值,钓鱼站点在此步骤拦截
verify_result = verify_registration_response(
credential=reg_cred,
expected_challenge=stored_challenge,
expected_rp_id=RP_ID,
expected_origin=f"https://{RP_ID}"
)
except Exception as e:
return jsonify({"code": 403, "msg": f"设备绑定校验失败,疑似钓鱼访问:{str(e)}"}), 403
# 校验通过,持久化存储设备公钥凭证(生产存入数据库关联用户账号)
if user_account not in user_cred_store:
user_cred_store[user_account] = []
user_cred_store[user_account].append({
"cred_id": verify_result.credential.id,
"public_key": verify_result.credential.public_key,
"create_time": str(uuid.uuid1())
})
# 清除过期挑战缓存
del challenge_cache[user_account]
return jsonify({"code": 200, "msg": "设备Passkey绑定成功,已淘汰OTP绑定通道"})
# 3. 接口:发起Passkey登录认证(对应监管要求淘汰OTP的登录场景)
@app.route("/api/passkey/login/start", methods=["POST"])
def login_start():
req_data = request.get_json()
user_account = req_data.get("user_account")
if not user_account or user_account not in user_cred_store:
return jsonify({"code": 400, "msg": "账号不存在或未绑定Passkey设备"}), 400
# 读取用户已绑定的所有设备凭证
user_creds = user_cred_store[user_account]
cred_descriptors = []
for cred in user_creds:
cred_descriptors.append({
"id": cred["cred_id"],
"type": "public-key",
"transports": ["internal", "hybrid"]
})
# 生成登录认证参数与挑战值
auth_options = generate_authentication_options(
rp_id=RP_ID,
allow_credentials=cred_descriptors,
timeout=120000
)
challenge_cache[user_account] = auth_options.challenge
return jsonify({
"code": 200,
"data": json.loads(options_to_json(auth_options))
})
# 4. 接口:完成登录签名校验,放行账户登录
@app.route("/api/passkey/login/finish", methods=["POST"])
def login_finish():
req_data = request.get_json()
user_account = req_data.get("user_account")
credential_raw = req_data.get("credential")
if not user_account or not credential_raw:
return jsonify({"code": 400, "msg": "登录参数缺失"}), 400
stored_challenge = challenge_cache.get(user_account)
if not stored_challenge:
return jsonify({"code": 403, "msg": "登录会话失效,请重试"}), 403
try:
auth_cred = AuthenticationCredential.parse_raw(json.dumps(credential_raw))
# 读取用户绑定公钥用于验签
user_pub_keys = [item["public_key"] for item in user_cred_store[user_account]]
verify_result = verify_authentication_response(
credential=auth_cred,
expected_challenge=stored_challenge,
expected_rp_id=RP_ID,
expected_origin=f"https://{RP_ID}",
credential_public_keys=user_pub_keys
)
except Exception as e:
return jsonify({"code": 403, "msg": f"登录校验失败,钓鱼站点无法通过域名校验:{str(e)}"}), 403
del challenge_cache[user_account]
# 校验通过,创建登录会话,放行交易权限
session["login_user"] = user_account
return jsonify({"code": 200, "msg": "Passkey登录成功,无需OTP验证", "user": user_account})
if __name__ == "__main__":
# 生产环境需使用HTTPS域名部署,WebAuthn强制要求加密访问
app.run(ssl_context="adhoc", host="0.0.0.0", port=8443)
5.3 代码核心合规与防钓鱼逻辑说明
RP ID 域名强制校验:代码中expected_rp_id、expected_origin固定绑定平台官方域名,仿冒钓鱼站点域名不匹配时,verify_registration_response、verify_authentication_response直接抛出异常,拒绝认证请求,完全实现证监会要求的防钓鱼核心能力;
分场景覆盖监管禁令:/api/passkey/register对应设备绑定场景、/api/passkey/login对应账户登录场景,两大接口完全替代原有 OTP 验证码接口,上线后可下线短信、邮箱、TOTP 校验通道;
防重放攻击机制:每次注册、登录生成独立随机 Challenge 挑战值,存入缓存单次使用,校验完成立即删除,杜绝攻击者复用签名凭证;
多设备绑定支持:user_cred_store数组存储用户多台设备 Passkey 公钥,适配客户多手机、多电脑登录需求,符合券商业务使用习惯;
金融生产环境适配提示:代码中内存存储user_cred_store、challenge_cache仅用于演示,正式部署需替换为 MySQL 持久化存储凭证、Redis 分布式缓存挑战值,同步增加操作日志落盘功能,满足证监会 7 年日志留存审计要求;所有接口强制 HTTPS 加密传输,WebAuthn 标准禁止 HTTP 明文访问。
5.4 前端调用逻辑简要说明
前端页面需引入@simplewebauthn/browser官方前端库,接收后端下发的 options JSON 参数,调用startRegistration()完成设备密钥注册、startAuthentication()完成登录签名,将前端返回的 credential 完整数据包回传后端 finish 接口验签。前端无需处理密码学底层逻辑,仅做参数转发,完整隔离密钥签名操作,私钥运算全程在设备本地安全芯片执行,前端无法获取私钥明文,进一步缩小攻击面。
6 适配香港证监会新规的全链路合规安全体系搭建
仅替换登录认证方式无法满足监管全部要求,本节搭建一体化合规安全架构,覆盖身份认证层、设备管理层、行为监控层、风险处置层、客户教育层五大模块,完整落地通函全部强制性条款,形成事前预防、事中监测、事后处置的闭环安全管控。
6.1 第一层:身份认证合规层(核心 OTP 替换模块)
该层为改造核心,彻底淘汰登录、设备绑定场景所有 OTP 通道,采用分层认证策略匹配不同客户风险等级:
基础零售客户:强制开通 Passkey 通行密钥作为唯一登录、设备绑定认证方式,下线全部短信 / 邮箱 / TOTP 验证码;
高净值 / 大额交易客户:Passkey + 硬件安全密钥双认证机制,大额提现、账户权限修改等高风险操作需双重校验;
过渡期存量客户(中小型券商 12 个月缓冲期内):先部署密码学设备绑定,同步引导客户注册 Passkey,缓冲期结束强制关闭设备绑定过渡方案,统一切换 Passkey;
低风险辅助场景(账单查询、资讯推送验证):可保留 OTP 作为辅助验证手段,不受禁令约束。
反网络钓鱼技术专家芦笛提出分层认证落地建议,机构不可一刀切强制所有客户同步切换,需配套灰度切换、引导注册、客服协助开通流程,降低客户抵触情绪,平衡合规强制要求与用户操作体验。
6.2 第二层:设备全生命周期管理层
匹配证监会设备绑定监控要求,搭建统一设备管理中台,记录所有客户绑定设备完整信息:
设备注册台账:存储设备硬件 ID、Passkey 公钥、注册时间、设备系统版本、绑定 IP 属地、操作终端类型;
设备变更审批流程:新增设备、解绑设备、批量重置设备绑定均需 Passkey 本人认证,禁止 OTP 核验;
异常设备识别规则:同一设备绑定超过 10 个不同客户账号、短时间跨多地 IP 切换设备、设备注册后 24 小时内发起大额提现,自动标记高风险;
客户自助设备管理端口:APP、网页端提供设备列表查询、可疑设备一键解绑功能,解绑操作强制 Passkey 二次校验。
6.3 第三层:7×24 小时智能行为监控预警层
完全落地证监会交易、登录、提现异常监测条款,搭建多维度风险引擎,规则分为三大类:
6.3.1 登录行为风险规则
异地跨国登录,与客户常用登录属地偏差超过 2 个行政区;
单日超过 5 台陌生设备尝试登录账户;
凌晨 0 点 - 6 点非常规时段首次登录;
密码重置、手机号修改后 1 小时内发起新增设备绑定请求。
6.3.2 交易行为风险规则
买入日均成交额低于 10 万港元的低流动性仙股、短期深度虚值期权;
单日亏损超过账户总资产 30% 的高频短线交易;
历史仅持有蓝筹股、ETF 的账户突然批量开立期货、杠杆交易、期权权限并大额交易;
新设备绑定完成后立刻发起全仓卖出操作。
6.3.3 资产提现 / 划转风险规则
首次新增提现地址后 24 小时内全额划转账户资产;
虚拟资产多笔小额拆分提现至不同陌生钱包地址;
提现收款账户与客户实名预留银行卡、钱包地址无匹配记录。
风险引擎分级处置机制:
一级预警(低风险):APP 弹窗 Passkey 二次核验,确认本人操作后放行;
二级预警(中风险):临时限制当日提现、杠杆交易权限,短信 + APP 推送异常通知,客户主动联系客服核验后解除限制;
三级预警(高风险,疑似劫持):实时冻结账户全部交易、提现权限,人工客服 30 分钟内致电客户核实,确认被盗立即启动资产保全流程,同步向证监会上报风险事件。
6.4 第四层:网络入侵与账户劫持应急处置层
依据监管事件响应要求,制定标准化四步处置流程,明确时效、上报、整改规则:
止损阻断阶段(0-5 分钟):监控引擎识别劫持行为,自动冻结账户会话、资产划转通道,阻断攻击者操作链路;
客户告知阶段(5-30 分钟):多渠道推送异常通知,提供一键冻结账户入口,人工客服主动联络客户核实操作真实性;
监管上报阶段(24 小时内):形成标准化事件报告,包含攻击时间、攻击路径、损失金额、受害客户数量、临时处置措施,提交香港证监会中介机构监管部门;
根因复盘整改阶段(7 个工作日内):梳理认证系统、监控引擎漏洞,完成代码修复、规则迭代,更新内部安全管理制度,组织全员安全培训,留存复盘报告供监管现场检查。
同步建立黑客攻击日志归档机制,所有登录、交易、提现、设备操作日志加密存储 7 年以上,支持监管机构随时调取溯源审计。
6.5 第五层:常态化投资者安全教育运营层
满足证监会客户风险警示硬性要求,搭建全周期投资者教育体系:
开户准入环节:新客户注册流程强制展示钓鱼诈骗案例警示教育页面,讲解 OTP 漏洞、Passkey 安全防护原理,完成安全问答方可完成开户;
周期性定向推送:普通客户每月推送 1 次钓鱼风险提示,高净值、高频交易客户每季度专项安全短信、APP 弹窗提醒;
平台固定安全专栏:官网、APP 首页永久展示仿冒平台辨别方法、钓鱼链接识别技巧、账户被盗紧急处置步骤;
事件同步科普:发生行业重大钓鱼诈骗案件后,3 个工作日内向全部客户推送案件复盘与防护指引,同步引导客户开通 Passkey 认证。
7 分类型机构差异化改造实施路径(12 个月监管周期内落地)
根据证监会分级实施要求,区分大型线上券商、中小型券商、虚拟资产交易平台三类机构,制定分阶段落地时间表,平衡改造工作量、技术成本、客户迁移进度,确保到期前全面合规。
7.1 第一类:大型互联网线上券商(月度活跃客户≥10 万,立即改造)
阶段 1(0-3 个月,立即启动)
后端完成 WebAuthn Passkey 接口开发、压力测试、渗透测试,下线登录场景短信 OTP 通道;
APP、网页前端完成 Passkey 生物识别适配,上线设备 Passkey 自助注册功能;
搭建全维度行为监控引擎,上线登录、交易、提现异常识别规则;
内部安全团队完成高管安全责任制度修订,明确内控追责流程。
阶段 2(3-6 个月)
全量存量客户引导开通 Passkey,客服专线协助老年、低技术客户完成设备绑定;
设备绑定场景全面下线 TOTP、邮箱 OTP,仅保留 Passkey 校验通道;
高净值客户批量推送硬件安全密钥增值服务,完成双认证体系部署;
投资者常态化安全教育体系全面上线,按月推送风险提示。
阶段 3(6-12 个月,持续优化)
全渠道 OTP 登录、设备绑定通道永久关闭,无兜底兼容入口;
监控引擎迭代 AI 异常识别模型,降低误拦截率;
每季度开展内部安全审计,模拟钓鱼渗透测试,向证监会提交安全合规报告。
7.2 第二类:中小型线下券商(12 个月完整缓冲周期)
阶段 1(0-4 个月)
轻量化部署密码学设备绑定过渡方案,保留 OTP 兜底通道但限制交易权限;
启动 Passkey 后端接口开发,完成内部测试环境验证;
简化版行为监控系统上线,覆盖核心登录、提现风险规则。
阶段 2(4-9 个月)
灰度放量 Passkey 注册入口,优先推广给线上高频交易客户;
逐步缩小 OTP 使用场景,设备绑定操作强制引导 Passkey 校验;
完善客户安全教育流程,线下营业部同步张贴钓鱼风险警示海报。
阶段 3(9-12 个月,到期合规收尾)
下线全部登录、设备绑定场景 OTP 通道,统一切换 Passkey 认证;
拆除过渡性设备绑定系统,完成全平台统一防钓鱼认证架构升级;
完成全量客户迁移台账归档,迎接证监会合规现场检查。
7.3 第三类:持牌虚拟资产交易平台(等同大型券商,优先改造)
虚拟资产资产不可逆特性决定监管管控标准更严格,改造周期压缩至 6 个月内完成全量切换,不适用 12 个月缓冲宽松方案:
0-2 个月:完成 Passkey 开发、硬件密钥对接,下线提现、登录场景 OTP;搭建 7×24 小时专职安全监控团队,实时处置劫持风险;
2-4 个月:全客户强制开通 Passkey,未绑定 Passkey 账户限制大额划转、链上提现功能;
4-6 个月:全场景 OTP 通道永久下线,建立链上资产被盗专项应急处置流程,同步向证监会按月报送网络安全监测数据。
8 长效安全运营与内部合规管控机制
完成技术系统改造仅满足基础合规要求,证监会通函强调机构需建立长效可持续的安全运营体系,将防钓鱼身份安全纳入日常内控管理,本节从高管责任、内部审计、技术迭代、监管报送四个维度搭建长效机制。
8.1 管理层安全责任落地机制
设立首席信息安全官(CISO)专职岗位,直接向董事会汇报,统筹防钓鱼认证系统运维、风险监控、事件处置全部工作;
建立季度安全董事会汇报制度,向高管层同步钓鱼攻击行业态势、平台监测风险数据、客户资产安全隐患、系统改造进度;
安全责任纳入高管绩效考核,若发生因认证体系缺陷导致大额客户资产损失,扣减绩效并启动监管问责流程;
新业务上线安全准入评审机制,线上交易、新 APP、新提现渠道上线前,必须核验防钓鱼认证是否覆盖登录、设备绑定场景,未达标不予上线。
8.2 周期性内部安全审计与渗透测试
月度自动化安全扫描:针对登录接口、设备绑定接口开展漏洞扫描,排查钓鱼绕过、权限越界漏洞;
季度人工渗透测试:聘请第三方安全厂商模拟钓鱼攻击者,尝试绕过 Passkey 认证体系,出具整改报告限期修复;
年度全面合规审计:对照证监会通函全部条款逐项自查,形成审计台账,留存审计报告以备监管现场检查;
客户凭证存储专项审计:核查 Passkey 公钥、设备台账加密存储规范,杜绝明文存储、数据泄露风险。
8.3 防钓鱼认证技术持续迭代机制
跟进 FIDO2、WebAuthn 标准版本更新,定期升级认证服务端依赖库,修复密码学底层漏洞;
收集平台拦截的钓鱼攻击样本,迭代监控引擎异常识别规则,持续提升劫持风险识别准确率;
跟踪新型社工诈骗手段,同步更新投资者安全教育内容,针对 AI 语音钓鱼、仿冒视频客服等新型攻击制定专项防护策略;
反网络钓鱼技术专家芦笛指出,网络钓鱼攻击手段持续迭代,静态技术架构无法长期抵御新型风险,机构需建立技术迭代常态化机制,每半年更新一次防钓鱼认证配套风控规则,避免合规系统滞后于攻击技术发展。
8.4 监管常态化数据报送机制
按照证监会中介机构信息报送要求,按月、按季度提交网络安全运营数据:
月度报送:钓鱼攻击拦截数量、异常登录预警次数、Passkey 客户开通率、OTP 剩余使用客户数量;
季度报送:安全渗透测试报告、投资者安全教育开展情况、账户劫持事件处置台账;
即时报送:发生客户资产被盗、大规模钓鱼攻击事件,24 小时内提交专项事件处置报告,同步跟进整改反馈。
9 结语
9.1 研究主要结论
本文以 2026 年 7 月 9 日香港证监会防钓鱼认证专项监管通函为核心研究载体,围绕线上券商、虚拟资产交易平台淘汰 OTP、落地防钓鱼认证的合规要求展开系统性研究,形成四项核心结论:
第一,传统短信、邮箱、TOTP 一次性密码基于共享秘密校验逻辑,不存在域名绑定校验能力,面对定向社工钓鱼攻击存在不可修复的底层安全缺陷,无法满足当前数字金融账户资产防护需求,香港证监会强制淘汰两类高危场景 OTP 具备充分风险治理依据,是适配当前网络诈骗态势的必要监管举措;2025-2026 年香港大量证券、虚拟资产账户劫持案件证明,仅依靠 OTP 双因素认证无法阻断钓鱼资产窃取链路,底层身份认证架构重构是治理账户劫持风险的根本手段。
第二,基于 FIDO2 WebAuthn 标准的 Passkey 通行密钥是当前平衡安全强度、用户体验、改造成本的最优合规方案,依托设备安全芯片隔离私钥、强制校验访问域名两大核心机制,从底层消除钓鱼攻击窃取凭证的可能性,硬件安全密钥、密码学设备绑定可作为分层配套方案,三类技术均完全符合证监会防钓鱼认证判定标准;本文提供的完整 Python WebAuthn 代码示例可直接支撑机构后端系统改造,覆盖登录、设备绑定两大 OTP 禁用核心场景,无技术硬伤,适配金融生产环境部署规范。
第三,合规改造不可局限于单纯替换登录认证方式,必须搭建 “身份认证 - 设备管理 - 行为监控 - 应急处置 - 投资者教育” 一体化闭环安全体系,同步落实管理层终身追责、7 年日志留存、异常账户实时冻结、24 小时监管事件上报等全部配套监管条款,单一模块改造无法通过证监会合规检查,全链路协同管控才能完整规避客户资产损失与监管处罚双重风险。
第四,机构需依据自身规模、业务类型制定差异化 12 个月改造落地路径,大型线上券商、虚拟资产平台需立即启动全量 Passkey 切换,中小型券商可采用设备绑定过渡方案,分批次灰度迁移存量客户,平衡改造资源投入与监管时限要求;长效安全运营机制是维持长期合规的基础,管理层责任、周期性安全审计、技术持续迭代、常态化监管报送缺一不可。
9.2 研究局限与未来研究展望
9.2.1 研究局限
本文研究素材以香港证监会单一监管通函为主,未纳入全球其他地区金融监管机构同类身份安全政策做横向对比;代码示例仅覆盖 Python 后端服务端实现,未完整提供前端 Web、移动端 APP 全套工程代码;对老旧低端智能设备、无生物识别功能终端的 Passkey 兼容适配优化方案研究深度有限,后续可针对存量老旧客户终端适配开展专项细化研究。
9.2.2 未来研究展望
第一,全球金融监管身份安全政策对比研究:随着钓鱼账户劫持损失规模持续扩大,欧美、东南亚多地金融监管机构大概率出台类似 OTP 限制性规则,后续可对比不同地区监管细则差异,构建跨境数字金融平台统一防钓鱼认证合规框架;
第二,AI 生成式钓鱼攻击下防钓鱼认证体系优化研究:AI 仿冒语音、AI 生成高仿页面、AI 自动社工话术成为新型攻击手段,可研究 Passkey 与 AI 行为识别、设备生物特征多维度融合风控模型,进一步提升复杂场景防护能力;
第三,中小机构轻量化合规改造方案研究:针对资金、技术团队有限的小型持牌券商,研究 SaaS 化 Passkey 认证服务落地模式,降低安全改造成本,提升中小金融机构合规落地可行性;
第四,虚拟资产链上资产被盗溯源与损失赔付机制研究:结合本次香港监管新规,探索防钓鱼认证体系落地后,机构、投资者、监管三方资产损失责任划分标准化规则,完善数字资产投资者保护配套制度。
9.3 研究客观总结
香港证监会 2026 年 7 月出台的 OTP 淘汰新规,标志全球证券、虚拟资产行业身份安全体系正式进入 “原生防钓鱼密码学认证” 新阶段,彻底颠覆沿用十余年的 “密码 + OTP” 双因素安全范式。线上券商、虚拟资产交易平台需客观认知传统一次性密码的底层安全短板,摒弃 “OTP 足以防护账户风险” 的固有认知,以监管合规要求为契机,全面落地 Passkey 通行密钥等 FIDO2 标准化防钓鱼技术,同步搭建全链路账户风险监控与应急处置体系。反网络钓鱼技术专家芦笛强调,金融账户安全的核心逻辑应从 “攻击发生后止损” 转向 “攻击发起前阻断”,Passkey 类防钓鱼认证技术实现了钓鱼攻击事前拦截,是适配当前产业化社工诈骗环境的底层防护基础。机构需将客户资产安全纳入顶层管理责任,平衡技术改造、客户体验、合规管控三者关系,在监管规定的 12 个月实施周期内完成全体系升级,构建可信、合规、可抵御新型钓鱼攻击的线上数字交易服务生态。
编辑:芦笛(公共互联网反网络钓鱼工作组)